15、重温双签名方案：原理、改进与效率分析

重温双签名方案：原理、改进与效率分析

1. 抗碰撞哈希

抗碰撞哈希函数在密码学构造中具有重要作用。对于一个函数族 (H = {H_k}_{k \in \mathbb{N}})，其中每个 (H_k) 是形如 (h : {0, 1}^ \to {0, 1}^k) 的函数集合，若对于所有 (t_h) 时间的敌手 (A)，存在一个可忽略函数 (\epsilon_h = \epsilon_h(k))，使得：
[
\Pr\left[
\begin{array}{l}
h \stackrel{\$}{\leftarrow} H_k, (m, m’) \leftarrow A(h), m \neq m’, \
m, m’ \in {0, 1}^ , h(m) = h(m’)
\end{array}
\right] \leq \epsilon_h
]
其中概率是基于敌手 (A) 的随机比特，则称 (H) 是 ((t_h, \epsilon_h)) - 抗碰撞的。

2. 链接函数

在签名方案中，我们会使用链接函数 (w : R \times M \to R) 来结合输入消息 (m) 和随机值 (r)。对于一个函数族 (W = {W_k} {k \in \mathbb{N}})，每个 (W_k) 是形如 (w : R \times M \to R) 且 (|R| \leq 2^k) 的函数集合，若对于所有攻击者 (A)，存在可忽略函数 (\epsilon {chain} = \epsilon_{chain}(k))，并且对于 (w \stackrel{\$}{\le